Descoberto malware que injetava resultados do Bing em busca do Google

Por Rafael Arbulu | 05 de Junho de 2019 às 12h19

Um novo malware foi descoberto pela empresa de segurança AiroAV, cujo relatório mostra que ele infecta usuários do macOS e faz, entre outras coisas, com que resultados de busca do Bing sejam inseridos dentro do Google por meio de redirecionamento da rede de tráfego do usuário para um servidor proxy que modifica a página do maior buscador.

O malware em questão vem disfarçado de instalador de plugin do Flash para macOS, numa tentativa de contornar medidas de segurança implementadas pela versão Mojave do sistema operacional. O instalador falso pede pelas credenciais de acesso do Apple ID do usuário, ganhando acesso a privilégios que lhe permitem instalar um proxy web local e reconfigurar o sistema para que todo tráfego feito via browser passe por ele. Esse mesmo proxy pode mexer com dados não criptografados conforme eles fluem para dentro e para fora da internet pública.

Ele também insere um certificado de segurança na parte sistêmica do macOS, dando ao proxy a capacidade de gerar certificações SSL/TLS em tempo real para os sites que o usuário tenta acessar. Essa medida (conhecida como man-in-the-middle) funciona contra sites com e sem certificação de segurança (HTTP e HTTPS).

Novo malware ataca especificamente usuários do MacOs, redirecionando resultados de busca para páginas diferentes, contendo anúncios que geram dinheiro aos autores de um ataque

Segundo os pesquisadores que descobriram o malware, o redirecionamento para buscas do Bing, quão cômico possa soar, não é feito à toa: eles não dão certeza, mas acreditam que os banners publicitários exibidos pelo Bing geram algum tipo de receita para o autor da infecção. Isso porque o proxy mencionado anteriormente pega a busca que o usuário executa no Google e a redireciona para um iframe de uma página HTML que “puxa” resultados do Bing para os mesmos termos procurados.

“Da forma como vemos, os autores de um ataque desse tipo tiram dinheiro de anúncios que são gerenciados para serem entregues por meio desse processo”, disse um porta-voz da AiroAV ao The Register. “Nesse caso, poderiam ser anúncios do Bing, ou outras publicidades definidas pelo processo”.

"Esse método agressivo de dominância e injeção de buscas parece ser uma resposta para mudanças implementadas recentemetne no macOS Mojave, as quais depreciaram métodos ‘tradicionais’ de invasão, como instalação de extensões e roubo de configurações do navegador”, comentou a empresa. "Ao usar o método man-in-the-middle, os autores do ataque podem inspecionar todo o tráfego de rede, incluindo conteúdo criptografado, manipulando-o e devolvendo respostas fabricadas para o usuário”.

O relatório não indica formas de se defender desse tipo de ataque, salvo por manter-se em dia com atualizações de softwares de segurança e evitar baixar extensões, plugins e instaladores de fontes que não os canais oficiais.

Fonte: The Register

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.